PDA

View Full Version : Google Chrome: vulnerabilità ad alto rischio, aggiornate subito il browser!


Redazione di Hardware Upg
26-03-2022, 20:26
Link alla notizia: https://www.hwupgrade.it/news/web/google-chrome-vulnerabilita-ad-alto-rischio-aggiornate-subito-il-browser_105916.html

Google ha rilasciato una nuova versione del suo web browser per porre rimedio ad una singola vulnerabilità

Click sul link per visualizzare la notizia.

Rubberick
26-03-2022, 21:32
coinvolge anche ffox?

agonauta78
27-03-2022, 08:20
Si

biometallo
27-03-2022, 08:36
Si
Su quale base lo affermi? :confused:

La news accenna ad un problema di sicurezza specifico al motore java di Chrome, credo quindi che al massimo possa rigurdare gli altri derivati di chronium ma non trovo nessuna segnalazione simile inerente FF

https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/

lollo9
27-03-2022, 09:13
coinvolge anche ffox?

No.
Riguarda Chromium.
È una vulnerabilità apparentemente grave relativo all’engine Javascript.

Riguarda Chrome, Edge, tutti i browser basati su Chromium, più tutto quello che gira su Node.js, quindi applicazioni Electron, servizi backend, serverless functions e via dicendo.

Il problema è che non si sa molto di questa vulnerabilità per ora. Google afferma che sia stato già utilizzato, mi pare dicano dai primi di febbraio. Suppongo vogliano tutti fare un giro di upgrade ovunque prima di documentarlo nel dettaglio.

È stato risolto anche su Edge intanto
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-1096

https://github.com/v8/v8/commit/0981e91a4f8692af337e2588562ad1504f4bffdc
https://github.com/v8/v8/commit/a2cae2180a7a6d64ccdede44d730c9fbba690fb7
E dai commit sul V8 pare proprio riguardi la type confusion come è stato già speculato da tanti.
Del codice Javascript opportunamente scritto può permettere l’esecuzione arbitraria di binari sulla macchina target. Grave è grave.

Si
No
La veda domanda è perché si dia fiato alla bocca senza saperne niente.
Questa vulnerabilità NON RIGUARDA Firefox.

popye
27-03-2022, 11:57
Dopo innumerevoli versioni la domanda da porsi sarebbe: ma sti programmatori ci sono o ci fanno.... cioè sono incapaci di risolvere i problemi di vulnerabilità o lo fanno apposta a lasciarceli?
Mi viene il sospetto che la risposta giusta sia la seconda.
Evidentemente questi bugs fanno comodo a "qualcuno" ma non dovrebbero essere sfruttabili da "tutti"per questo motivo,forse,non vengono mai risolti in modo definitivo ma solo "corretti"

lollo9
27-03-2022, 12:31
nono, facciamo proprio delle conferenze segretissime su come inserire vulnerabilità sempre nuove per far piacere a chi ci paga ed aiutarlo a perseguire i suoi loschi affari.

guarda, nome cognome data ora e motivazione per ogni singola modifica ad ogni singola linea di codice sono pubbliche.
se hai qualcosa da dire, tutta sta gente è lì su github, la trovi facilmente. se hai qualcosa da dire, accomodati pure.
se hai -davvero- qualcosa da dire al core team di V8 ti fai una carriera tempo zero, garantito. ed idem vale per tutti questi grandi progetti iperutilizzati.

problemi del genere costano milionate in soldi veri come fosse niente. non c’è alcun interesse ad averne.

se si vuole, il progetto V8 è nato un po’ “bastardo”, cresciuto alla svelta col boom di Javascript, è piuttosto contorto.
ma una riscrittura richiederebbe anni.
Mozilla ci si è quasi dissanguata con Quantum, ed è comunque un engine browser-only.
V8/Chromium non è solo browser e 3/4 di internet, quella roba lì la usi anche per lanciare photoshop, nelle app smartphone, nella maggioranza dei servizi online interattivi, nella PA di praticamente ogni paese al mondo, navigatori gps, videogiochi, dispositivi di rete, forni a microonde, Gmail, office365, airbnb, steam, infotainment, youtube…

Puntare il dito non serve a niente. servono soluzioni migliori.
e l’ultima volta che praticamente chiunque ha controllato, non ce n’erano.
tu ne hai?

oppure puoi tornare a girare il sugo. pure quello mica si gira da solo.

frankie
30-03-2022, 08:40
Domanda: ma come si aggiorna edge?
Via windows update?

biometallo
30-03-2022, 09:36
@frankie
Non sono sicuro si ricevano ancora tramite windows update, anche perché ultimamente sono abituato ad aggiornare Edge come lo si fa con Chrome (ma anche FireFox)

Impostazioni di aggiornamento di Microsoft Edge (https://support.microsoft.com/it-it/topic/impostazioni-di-aggiornamento-di-microsoft-edge-af8aaca2-1b69-4870-94fe-18822dbb7ef1)

Per impostazione predefinita, Microsoft Edge si aggiorna automaticamente al riavvio del browser. Esistono tuttavia due situazioni in cui può essere necessario scaricare manualmente un aggiornamento:
[...]
Nel browser passare a Impostazioni e altro > Guida e feedback> informazioni su Microsoft Edge (edge://settings/help).

Se nella pagina Informazioni è visualizzato Un aggiornamento è disponibile. Selezionare Scarica e installa per procedere. Potrebbero essere applicati costi di rete., seleziona Scarica e installa. Microsoft Edge scariderà l'aggiornamento applicandolo al successivo riavvio di Microsoft Edge. Tieni presente che se sei in rete cellulare, il download dell'aggiornamento potrebbe richiedere addebiti.